福建水泥:内部控制管理规定
福建水泥股份有限公司内部控制管理规定
第一章 总则第一条 为加强福建水泥股份有限公司(以下简称“公司”)内部控制管理,促进公司内部管理规范运行和可持续发展,保障内部控制体系建设和有效实施,提升公司经营管理水平和风险防范能力。根据《中华人民共和国公司法》《企业内部控制基本规范》(财会〔2008〕7号)及公司《章程》等有关要求,结合公司实际情况,制定本规定。
第二条 本规定适用于公司及各权属企业(包括公司各级全资、控股和公司通过股东协议、公司章程、董事会决议或其他协议安排拥有实际控制权的子企业)。
第三条 公司内部控制体系的建设与维护,应遵循以下原则:
(一)合规性原则。内部控制体系须贯彻党和国家的路线、方针和政策,符合国家法律法规、规章、国资监管规定及国家强制性标准等。
(二)全面性原则。内部控制体系应覆盖企业常态化业务和管理事项,并贯穿计划、决策、执行、监督和评价全过程。
(三)适应性原则。内部控制体系应与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着企业内外部环
境的变化适时调整和改进优化,确保内部控制体系建设成果有效落地和实际应用。
(四)一致性原则。内部控制体系应与管理制度和业务流程保持同步更新,确保内部控制与制度内容的一致性。
(五)符合性原则。在遵循公司内部控制体系的基础上,公司内部控制体系对权属企业内部控制体系具备约束力,原则上下级内部控制体系应遵循上级内部控制体系要求。
第四条 公司全体员工都应当参与内部控制体系建设与维护,并遵守“管业务必须管内部控制”的原则。
第五条 公司内部控制体系对全体员工均有约束力。
第二章 管理基本定义
第六条 内部控制是指公司为保障经营管理合法合规及效率、资产安全、财务报告及相关信息披露真实、完整、准确,促进实现发展战略目标的控制要求。
第七条 内部控制体系是指公司各层级企业内部控制体系文件的编制及应用。内部控制体系文件包含内部控制体系手册(以下简称内控手册)、权限指引、管理事项清单等。内控手册由内控框架、风险控制矩阵、流程图、不相容职务分离清单等构成。
第八条 内部控制评价包括内部控制自我评价和内部控制监督评价。内部控制自我评价是指各企业对本企业内部控制设计与执行情况进行综合评价、形成评价结果、出具评价报告。
内部控制监督评价是指公司组织对权属企业内部控制设计与执行情况进行评价、出具评价报告。
第三章 组织与职责第九条 公司主要负责人是公司内部控制体系建设与执行监督工作的第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各权属企业全面有效的内部控制体系。各权属企业主要负责人是本企业内部控制体系建设与执行监督工作的第一责任人。
第十条 公司董事会负责推动完善公司内部控制体系并决定相关重大事项,对内部控制管理制度及其有效实施进行总体监控和评价,审议决定以下事项:
(一)公司内部控制体系及其建设相关重要工作方案和报告等重大事项;
(二)公司内部控制体系文件年度定期修订;
(三)公司内部控制体系工作报告及年度内部控制自我评价报告。
第十一条 公司董事会审计委员会负责指导公司内部控制体系建设。
第十二条 公司党委会前置研究讨论董事会审议决定的公司内部控制体系相关事项。
第十三条 公司经理层负责拟订公司内部控制体系建设工作方案,经公司党委会前置研究讨论、董事会批准后组织实施。
第十四条 公司审计室是公司内部控制管理的归口管理部门,负责组织各部门开展内部控制体系管理工作,牵头建立和维护公司内部控制体系,履行以下职责:
(一)牵头编制公司内部控制体系建设工作方案,内部控制体系相关管理制度、流程与权限;
(二)组织协调内部控制体系的建设与实施,统筹协调公司内部控制体系更新与维护;
(三)组织公司各部门对公司内部控制体系执行情况进行检查或评估,并督促整改落实;
(四)牵头编制公司内部控制体系工作报告;
(五)指导监督权属企业的内部控制体系建设与管理工作;
(六)组织开展公司内部控制体系宣贯培训;
(七)牵头组织内部控制管理信息系统建设;
(八)负责内部控制体系管理的其他事项。
第十五条 公司法律事务部负责公司内部控制体系的法律审核,牵头组织公司内部控制体系合规性审查。
第十六条 公司审计室负责组织开展内部控制评价,履行以下职责:
(一)编制公司内部控制评价工作方案,组织公司及各权属企业开展年度内部控制自我评价工作;
(二)制定内部控制评价标准及程序、内部控制缺陷认定标准;
(三)组织内部控制评价工作,有针对性对权属企业开展内部控制监督评价;
(四)根据内部控制评价情况,组织整改并督促各部门及权属企业落实内部控制整改措施。
第十七条 公司各部门是公司内部控制体系建设与运行、维护的执行部门,履行以下职责:
(一)牵头梳理本部门归口管理相关业务管理流程与权限,识别、评估风险点和控制目标,制定相应控制措施;
(二)牵头开展本部门归口管理的内部控制模块和事项的优化、检查及宣贯工作;
(三)参与制订公司内部控制管理制度;
(四)负责本部门职责范围内的内部控制管理相关制度、流程与权限的合规性审查,并应就内部控制管理相关制度、流程与权限是否符合本部门职责所涉的法律法规进行审查;
(五)制度制定或修订时,同步完成内部控制相关文件制定或修订会签和送审,保障内部控制体系与制度内容的一致性;
(六)牵头组织归口管理相关业务的内部控制模块和事项的管理、监督工作;对权属企业对应的内部控制模块和事项的建设与实施情况进行监督。
第十八条 各权属企业应贯彻公司内部控制体系,组织开展本企业的内部控制体系建设,应根据企业实际明确本企业的内部控制管理归口管理部门,并履行以下职责:
(一)按照公司内部控制体系要求,结合本企业实际,建立健全本企业内部控制体系,推动内部控制各项工作有序开展并落实;
(二)负责本企业内部控制体系建设与完善,制定本企业内部控制管理制度、流程与权限,规范本企业内部控制管理工作;
(三)组织开展本企业内部控制自我评价工作,并编制年度内部控制自我评价报告;根据内部控制自我评价情况及公司对权属企业监督评价情况,及时组织整改。
第四章 内部控制要素
第十九条 内部控制体系建设与制度体系建设相互融合,通过制定相应的管理制度,将内部控制体系的具体内容融入企业日常运营,规范经营管理。内部控制体系建设应符合《企业内部控制基本规范》(财会〔2008〕7号),包含内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。
(一)内部环境是企业实施内部控制的基础,内部环境需要定期评估和更新,以适应外部环境的变化和企业自身的发展需求。
(二)风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(三)控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。企业控制活动在设计上应涵盖8种主要控制类型,包括不相容职务分离控制、授权审批
控制、会计控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、信息技术控制。
(四)信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部有关单位之间进行有效沟通。
(五)内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,及时发现内部控制缺陷并加以改进。
第五章 内部控制体系建设
第二十条 公司审计室应根据外部监管要求及公司实际情况,明确公司内部控制体系建设要求及主要内容,编制公司内部控制体系建设工作方案,经总法律顾问/首席合规官、内部控制管理分管领导审核,公司经理层审议通过后提交公司党委会前置研究讨论、董事会批准后,由公司审计室牵头组织公司内部控制体系建设。
第二十一条 公司内部控制体系建设主要内容
(一)管理事项清单,是以公司内部控制框架为基础,结合公司本部各部门职责,梳理形成公司现行制度涵盖的内部控制管理事项。
(二)内控手册,是公司内部控制工作的纲领性文件,是从内部控制的角度按业务流程内控框架记录企业关键内部控制活动的一种体系文件,用于指导公司及各权属企业做好内部控制工作。内控手册由内控框架、风险控制矩阵、流程图、
不相容职务分离清单等构成。通过制定、发布和实施内控手册,确保公司整体形成统一的内部控制管理思想、管理语言和管理规范。
(三)权限指引,是对企业日常经营管理活动中权责划分的规范性文件,是内部控制体系手册未尽事项的补充,以公司章程、组织机构职责及管理标准为基础,结合业务流程管控,形成各项业务执行科学合理的授权和审批流程。
通过梳理管理业务,以业务流程为导向,确定业务的管理事项,形成管理事项清单;按照风险管理工作要求,开展风险评估,识别风险点,制定风险控制措施,形成风险控制矩阵;对于需要实行审批控制的管理事项,进一步梳理管理审批流程,明确审批节点和权限,形成权限指引,为业务管控提供支撑。
第二十二条 各权属企业应按照公司内部控制体系要求,结合企业实际,建立适用于本企业的内部控制体系。
第六章 内部控制体系运行与维护
第二十三条 内部控制体系运行与维护是指内部控制体系执行并不断优化的过程。
第二十四条 内部控制体系维护包括日常维护、定期维护两种方式。日常维护是指日常管理工作中和内部控制监督中发现内部控制缺陷或因内外部环境变化而产生的对内部控制体系进行局部性、条款级的修订工作。定期维护是指根据内部控制体系评价情况和管理优化升级需要,对内部控制体系进行整体性、模块级的修订工作,一般一年组织一次。
第二十五条 内部控制体系应进行版本管理,版本号采用字母“V”与数字组合表示,数字代表版本更新次数,内部控制体系版本号用“VX.X”表示,第一个X为主版本号,第二个X为次版本号。初版内部控制体系版本号用“V1.0”表示。日常维护形成的内部控制体系版本为日常版本,定期维护形成的内部控制体系版本为年度版本。日常维护仅更新次版本号,一般每年更新不超过3次;定期维护更新主版本号,次版本号归“0”,一般每年更新一次。
第二十六条 由于内外部环境变化而产生的内部控制体系维护是常见的日常维护情形。一般出现下列情形之一,应及时进行内部控制体系日常维护:
(一)国家政策法规调整或上级主管部门要求发生变化与公司内部控制体系不一致;
(二)公司《章程》、“三重一大”决策事项清单、董事会权责清单及授权清单、董事会议事规则等发生变更且对公司内部控制体系产生较大影响;
(三)涉及重大经营风险、合规风险等重大情况;
(四)当企业业务发生变化,组织结构、管控模式调整导致管理流程或管控措施需要调整;
(五)内部控制监督发现内部控制缺陷需进行整改,内部控制体系文件之间不一致或者需进行部分内容调整;
(六)其他需要对内部控制体系进行及时调整的情况。
第二十七条 公司内部控制体系日常维护,分为以下两种方式:
(一)制度与内部控制体系修订文件同步送审。由涉及事项的归口管理部门填报规章制度审核表,同步附上新增或修订内部控制体系相关文件(附件1)一起会签和送审,审批程序按照《规章制度管理规定》执行。规章制度与内部控制体系相关修订文件经审批后,由公司归口管理部门不定期汇总成册进行日常版本印发。
(二)内部控制体系修订文件送审。由公司涉及事项的归口管理部门编制符合内部控制体系要求的相关修订文件(附件
),填报公司内部控制体系日常维护审核表(附件2),经修订事项涉及部门会签、审计室审核,提交总法律顾问/首席合规官审核后,提交申请部门分管领导、事项涉及部门分管领导、内部控制管理分管领导审核,总经理审核、党委书记/董事长审批后,更新公司内部控制体系相关内容,由公司审计室不定期进行内部控制体系日常版本印发,若一段时间内修订内容累计较少则以通知的方式替代日常版本印发。
第二十八条 若公司内部控制体系日常维护涉及公司党委、董事会决策范围的事项,包括但不限于公司“三重一大”决策事项清单、董事会权责清单及授权清单中的事项及审批流程调整,应先进行相应审批程序后方可开展内部控制体系维护工作。
第二十九条 公司内部控制体系年度定期维护,由公司审计室组织各部门在最新日常版本的基础上对公司内部控制体系文件进行草拟修订、校核,并确认无误后,由公司审计室汇总成册,形成年度版本内部控制体系文件,经总法律顾问/首席合规官、内部控制管理分管领导审核,公司经理层审议通过后提交公司党委会前置研究讨论、董事会批准后印发。
第三十条 公司内部控制体系文件是制度编制的重要依据,公司各部门应当在理顺管理流程、明确权限划分、识别风险、确定控制措施后同步制定或修订制度,以确保制度科学合理且符合公司内部控制体系要求。
第三十一条 各权属企业应明确本企业内部控制体系运行与维护要求,确保内部控制体系有效执行,内部控制体系的日常维护和定期维护可参照公司审批程序和要求执行。
第三十二条 公司应在内部控制体系日常版本印发之日起30日内,完成内部控制体系涉及事项内容的修订工作。公司应在内部控制体系年度版本印发之日起60日内,完成公司内部控制体系涉及事项内容的修订和印发工作。
第三十三条 公司及各权属企业具备条件时应统筹内部控制信息化建设,推进“管理制度化、制度流程化、流程表单化、表单信息化”建设,充分利用信息手段提高内部控制管理效率,保障内部控制体系管理的协同性、一致性,提升企业现代化管理水平。
第三十四条 规章制度与内部控制体系发生不一致的情况时,暂以最新印发的文件要求为准进行执行;内部控制体系文件之间发生不一致的情况时,暂以权限指引为准进行执行;事项归口管理部门应尽快将内部控制体系与规章制度修订完善,确保所有内控活动的执行和监督均符合既定管理要求并保持一致。
第三十五条 公司内部控制管理信息系统正式运行之日起,规章制度或内部控制体系中其他文件与权限指引不一致的情况时,应以信息系统上实时更新的权限指引为准进行执行,并应据此修改规章制度及内部控制体系其他文件相应内容。
第三十六条 公司内部控制体系文件的印发和归档管理按公司公文管理和档案管理有关规定执行。
第七章 内部控制监督管理
第三十七条 内部控制监督包括内部控制检查与内部控制评价。
(一)内部控制检查包括综合检查和专项检查。综合检查是指由内部控制归口管理部门牵头组织相关部门对内部控制体系进行的全面检查,专项检查是指由内部控制归口管理部门与业务归口管理部门共同进行的,对某一业务领域进行的专项检查。
(二)内部控制评价是内部控制评价归口管理部门对本企业内部控制体系有效性进行的全面评价。
第三十八条 公司内部控制综合检查由公司审计室部牵头组织,公司内部控制专项检查由公司各模块归口管理部门牵头组织,公司内部控制评价由公司审计部牵头组织,各权属企业应根据本企业实际职责分工明确内部控制检查与内部控制评价的牵头部门,按照《内控评价管理办法》要求开展评价工作。公司内部控制评价的方式、范围、程序和频率由公司审计部根据实际确定,一般每年至少进行一次。
第三十九条 每年公司审计室牵头制定年度内部控制检查计划,明确专项检查和综合检查计划,经内部控制管理分管领导审核、总经理审核、党委书记/董事长审批后执行。
第四十条 公司及各权属企业应重视内部控制评价,结合实际情况,必要时可聘请有资质的第三方机构协助开展内部控制评价。
第四十一条 结合内部控制检查与评价情况,一般每年第一季度对公司上一年度内部控制监督及运行情况进行总结,公司审计室牵头编制公司内部控制体系工作报告,经总法律顾问/首席合规官、内部控制管理分管领导审核,公司经理层审议通过后提交公司党委会前置研究讨论、董事会批准。经批准后的内部控制体系工作报告,作为公司内部控制体系维护的重要依据。
第四十二条 各权属企业内部控制体系的监督管理参照本规定执行。
第八章 内部控制信息披露
第四十三条 公司在内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会报告。董事会或者审计委员会认为公司内部控制存在重大缺陷或者重大风险的,或者保荐人、会计师事务所指出公司内部控制有效性存在重大缺陷的,董事会应当及时向上海证券交易所报告并予以披露。公司应当在公告中披露内部控制存在的重大缺陷或者重大风险、已经或者可能导致的后果,以及已采取或者拟采取的措施。
第四十四条 公司董事会或者其审计委员会应当根据审计室出具的评价报告及相关资料,出具年度内部控制评价报告。内部控制评价报告应当包括下列内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制存在的缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
会计师事务所应当参照主管部门相关规定对公司内部控制评价报告进行核实评价。
第四十五条 董事会或者审计委员会应当根据上市公司内部审计工作报告及相关信息,评价公司内部控制的建立和实施
情况,形成内部控制评价报告。董事会应当在审议年度报告等事项的同时,对公司内部控制评价报告形成决议。
公司应当在披露年度报告的同时,披露年度内部控制评价报告,并同时披露会计师事务所出具的内部控制审计报告。
第四十六条 如会计师事务所对上市公司内部控制有效性出具非标准审计报告,或者指出公司非财务报告内部控制存在重大缺陷的,公司董事会、监事会应当针对所涉及事项作出专项说明,专项说明至少应当包括下列内容:
(一)所涉及事项的基本情况;
(二)该事项对公司内部控制有效性的影响程度;
(三)公司董事会、监事会对该事项的意见;
(四)消除该事项及其影响的具体措施。
第九章 绩效考核与责任追究
第四十七条 公司各部门应保障维护归口管理事项有关制度与内部控制体系的一致性,并视情况纳入公司部门绩效考核。
第四十八条 各权属企业应根据公司内部控制体系更新情况及时维护本企业的内部控制体系,内部控制体系建设与执行及整改情况纳入权属企业绩效考核。
第四十九条 因内部控制执行不到位而导致企业出现重大风险事故,造成企业资产损失、人员伤亡或者重大影响的;被确认存在重大舞弊行为导致企业利益受损,以及存在其他内部控制重大缺陷或导致外部审计机构对企业内部控制有效性出
具否定意见的,将依据国家法律法规及相关规定追究相关责任人责任。
第十章 附则第五十条 本规定与国家法律、法规及规范性文件如有不符,应从其规定,并据此进行调整、修订。
第五十一条 本规定未尽事宜,按公司有关制度执行。公司制度没有规定的,按国家有关规定执行。
第五十二条 本规定由公司负责解释。
第五十三条 本规定自印发之日起施行。本规定施行后,之前的有关规定与本规定不一致的,以本规定为准。